Группа хактивистов DragonForce Malaysia выпустила эксплойт, который позволяет локальному повышению привилегий (LPE) Windows Server предоставлять доступ к возможностям локального маршрутизатора распределения (LDR). Он также объявил, что добавляет в свой арсенал атаки программ-вымогателей.
Группа опубликовала доказательство концепции (PoC) эксплойта на своем канале Telegram 23 июня, которое впоследствии было проанализировано CloudSEK На этой неделе. Хотя CVE для этой ошибки неизвестен, группа утверждает, что эксплойт можно использовать для обхода аутентификации «удаленно за одну секунду», чтобы получить доступ к уровню LDR, который используется для соединения локальных сетей в разных местах организации.
Группа заявляет, что будет использовать эксплойт в кампаниях, нацеленных на компании, работающие в Индии, что находится непосредственно в ее ведении. За последние три месяца DragonForce Malaysia запустила несколько кампаний, направленных на многочисленные правительственные учреждения и организации на Ближнем Востоке и в Азии.
«DragonForce Malaysia прибавляет к году, который надолго запомнится геополитическими волнениями, — говорит Дэниел Смит, руководитель отдела исследований подразделения Radware по разведке киберугроз. «Вместе с другими хактивистами группа угроз успешно заполнила пустоту, оставленную Anonymous, оставаясь при этом независимой во время возрождения хактивистов, связанных с российско-украинской войной».
Самый последний, получивший название «OpsPatuk» и запущенный в июне, уже стал жертвой утечек данных и атак типа «отказ в обслуживании» нескольких государственных учреждений и организаций по всей стране, при этом количество дефейсов превысило 100 веб-сайтов.
«Ожидается, что DragonForce Malaysia продолжит определять и запускать новые реакционные кампании, основанные на их социальной, политической и религиозной принадлежности, в обозримом будущем», — говорит Смит. «Недавние операции DragonForce Malaysia… должны напомнить организациям по всему миру, что они должны сохранять бдительность в это время и осознавать, что угрозы существуют за пределами текущего киберконфликт в Восточной Европе".
Почему LPE должен быть на радаре исправления
Хотя это и не так ярко, как удаленное выполнение кода (RCE), эксплойты LPE обеспечить путь от обычного пользователя к СИСТЕМЕ, по сути, самый высокий уровень привилегий в среде Windows. В случае эксплуатации уязвимости LPE не только позволяют злоумышленнику проникнуть в дверь, но также предоставляют права локального администратора и доступ к наиболее конфиденциальным данным в сети.
Благодаря этому повышенному уровню доступа злоумышленники могут вносить изменения в систему, восстанавливать учетные данные из хранимых служб или восстанавливать учетные данные от других пользователей, которые используют эту систему или прошли ее проверку подлинности. Восстановление учетных данных других пользователей может позволить злоумышленнику выдать себя за этих пользователей, предоставляя пути для бокового перемещения по сети.
С повышенными привилегиями злоумышленник также может выполнять административные задачи, запускать вредоносное ПО, красть данные, запускать бэкдор для получения постоянного доступа и многое другое.
Даршит Ашара, главный исследователь угроз CloudSEK, предлагает один пример сценария атаки.
«Злоумышленник из группы может легко использовать любую простую уязвимость в веб-приложении, чтобы закрепиться и установить лазейку в Интернете», — говорит Ашара. «Обычно машина, на которой размещен веб-сервер, будет иметь привилегии пользователя. Именно здесь эксплойт LPE позволит злоумышленнику получить более высокие привилегии и скомпрометировать не только один веб-сайт, но и другие веб-сайты, размещенные на сервере».
Эксплойты LPE часто остаются неисправленными
Тим МакГаффин, директор по состязательной инженерии в LARES Consulting, консалтинговой фирме по информационной безопасности, объясняет, что большинство организаций откладывают исправление эксплойтов LPE, потому что им обычно требуется первоначальный доступ к сети или конечной точке.
«Много усилий прилагается к первоначальному предотвращению доступа, но чем дальше вы продвигаетесь в цепочке атак, тем меньше усилий затрачивается на такие тактики, как повышение привилегий, боковое перемещение и настойчивость», — говорит он. «Эти исправления обычно назначаются по приоритету и исправляются ежеквартально, и не используют экстренный процесс «исправления сейчас».
Николь Хоффман, старший аналитик по киберугрозам в Digital Shadows, отмечает, что важность каждой уязвимости различна, будь то LPE или RCE.
«Не все уязвимости можно использовать, а это означает, что не каждая уязвимость требует немедленного внимания. Это от случая к случаю», — говорит она. «Некоторые уязвимости LPE имеют другие зависимости, такие как необходимость имени пользователя и пароля для проведения атаки. Это не невозможно получить, но требует более высокого уровня сложности».
Многие организации также создают учетные записи локальных администраторов для отдельных пользователей, чтобы они могли выполнять повседневные ИТ-функции, такие как установка собственного программного обеспечения на свои машины, добавляет Хоффман.
«Если у многих пользователей есть права локального администратора, обнаружить злонамеренные действия локального администратора в сети будет сложнее», — говорит она. «Злоумышленнику было бы легко смешаться с обычными операциями из-за неэффективных методов обеспечения безопасности, которые широко используются».
Она объясняет, что каждый раз, когда эксплойт выпускается в открытый доступ, киберпреступники с разным уровнем сложности могут воспользоваться им и осуществить оппортунистические атаки.
«Эксплойт устраняет часть этой работы», — отмечает она. «Вполне возможно, что массовое сканирование этой уязвимости уже происходит».
Хоффман добавляет, что вертикальная эскалация привилегий требует большей сложности и обычно больше соответствует методологиям продвинутых постоянных угроз (APT).
DragonForce планирует перейти на программы-вымогатели
В видео и через каналы социальных сетей группа хактивистов также объявила о своих планах начать проведение массовых атак программ-вымогателей. Исследователи говорят, что это может быть скорее дополнением к его хактивистской деятельности, чем уходом.
«DragonForce упомянул о проведении широкомасштабных атак программ-вымогателей с использованием созданного ими эксплойта, — объясняет Хоффман. «Атака программы-вымогателя WannaCry стала отличным примером того, насколько широкомасштабные атаки программ-вымогателей в то же время сложны, если конечной целью является получение финансовой выгоды».
Она также отмечает, что такие объявления от групп киберпреступников нередко можно увидеть, поскольку это привлекает внимание к группе.
Однако, с точки зрения Макгаффина, публичное объявление об изменении тактики является «курьёзом», особенно для группы хактивистов.
«Их мотивы могут быть больше связаны с уничтожением и отказом в обслуживании, а не с получением прибыли, как типичные группы вымогателей, но они могут использовать финансирование для расширения своих хактивистских способностей или повышения осведомленности о своем деле», — говорит он.
Ашара соглашается с тем, что запланированный переход DragonForce заслуживает внимания, поскольку мотив группы состоит в том, чтобы оказать как можно большее влияние, усилить свою идеологию и распространить свое послание.
«Следовательно, мотивация группы при объявлении программы-вымогателя — не финансовая причина, а причинение ущерба», — говорит он. «В прошлом мы видели подобные вредоносные программы для очистки данных, когда они использовали программы-вымогатели и притворялись, что их мотивация — финансовая, но основная мотивация — ущерб».
